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Bericht der Abgeordneten Eckhardt Rehberg, Martin Gerster, 

Dr. Dietmar Bartsch und Anja Hajduk 

Mit dem Gesetzentwurf ist beabsichtigt, eine signifikante Verbesserung der Sicher- 
heit informationstechnischer Systeme (IT-Sicherheit) in Deutschland zu erreichen. 

Die finanziellen Auswirkungen des Gesetzentwurfs auf die öffentlichen Haushalte 
stellen sich wie folgt dar: 

Haushaltsausgaben ohne Erfüllungsaufwand 

Keine. 

Erfüllungsaufwand 

Erfüllungsaufwand für Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand. 

Erfüllungsaufwand für die Wirtschaft 

Hinsichtlich des Erfüllungsaufwands für die Wirtschaft ist zu unterscheiden zwi- 
schen Genehmigungsinhabem nach dem Atomgesetz, Betreibern von Energieversor- 
gungsnetzen und Energieanlagen, bestimmten Telekommunikationsanbietem, sons- 
tigen Betreibern Kritischer Infrastrukturen sowie bestimmten Telemediendienstean- 
bietern: 

Betreibern Kritischer Infrastrukturen entsteht Erfüllungsaufwand für 

• die Einhaltung eines Mindestniveaus an IT-Sicherheit, 

• den Nachweis der Erfüllung durch Sicherheitsaudits, 
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• die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erhebli- 
cher IT-Sicherheitsvorfalle an das Bundesamt für Sicherheit in der Informati- 
onstechnik (BSI) sowie 

• das Betreiben einer Kontaktstelle. 

Genehmigungsinhabern nach dem Atomgesetz entsteht Erfüllungsaufwand für 

• die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfallen an 
das BSI. 

Betreibern von Energieversorgungsnetzen und Energieanlagen, die als Kritische Inf- 
rastruktur im Sinne des BSI-Gesetzes eingestuft wurden, entsteht Erfüllungsaufwand 
für 

• die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfallen an 
das BSI. 

Betreibern von Energieanlagen (einschließlich der Genehmigungsinhaber nach § 7 
Absatz 1 des Atomgesetzes), die als Kritische Infrastruktur im Sinne des BSI-Geset- 
zes eingestuft wurden, entsteht darüber hinaus Erfüllungsaufwand 

• für die Einhaltung zusätzlicher IT-Sicherheitsanfordemngen sowie 

• die Überprüfung der Einhaltung dieser Sicherheitsanforderungen. 
Telemediendiensteanbietem entsteht Erfüllungsaufwand für 

• die Sichemng ihrer technischen Einrichtungen durch Maßnahmen nach dem 
Stand der Technik. 

Betreibern öffentlicher Telekommunikationsnetze und öffentlich zugänglicher Tele- 
kommunikationsdienste entsteht Erfüllungsaufwand für 

• die Sichemng ihrer technischen Einrichtungen durch Maßnahmen nach dem 
Stand der Technik, 

• die Aufrechterhaltung und Erweiterung von Verfahren für die Meldung von IT- 
Sicherheitsvorfällen an die Bundesnetzagentur sowie 

• die Benachrichtigung der Nutzerinnen und Nutzer, wenn erkannt wird, dass von 
deren Datenverarbeitungssystemen Störungen ausgehen. 

Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort 
zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. 
Der entstehende Aufwand hängt einerseits vom erforderlichen Sicherheitsniveau 
und andererseits vom jeweiligen Status quo des Normadressaten ab. Der hierfür an- 
fallende Aufwand kann im Voraus nicht quantifiziert werden. Entsprechendes gilt 
für den durch die Überprüfung der Einhaltung dieses Sicherheitsniveaus entstehen- 
den Aufwand für Sicherheitsaudits. Der Aufwand und damit die Kosten für eine Zer- 
tifizierung oder für ein Audit hängen stark von dem gewählten Zertifizierungsver- 
fahren sowie von den jeweiligen Gegebenheiten im Unternehmen ab. Auch dieser 
Aufwand kann daher im Voraus nicht quantifiziert werden. Auch die Verpflichtung 
zum Betreiben einer Kontaktstelle wird dort zu einem Mehraufwand führen, wo noch 
keine entsprechende Kontaktstelle vorhanden ist. Die Kosten hierfür hängen von der 
konkreten Ausgestaltung der Erreichbarkeit durch den Betreiber der Kritischen Inf- 
rastruktur ab. Kostensenkend kann sich insoweit die Einrichtung einer gemeinsamen 
übergeordneten Ansprechstelle auswirken. 

Der jährliche Erfüllungsaufwand der Wirtschaft für das Meldeverfahren ergibt sich 
aus 

• der Anzahl der meldepflichtigen Unternehmen, 

• der Anzahl der meldepflichtigen Vorfälle pro Jahr und pro Unternehmen sowie 

• dem Aufwand pro Meldung. 
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Die konkrete Berechnung der Gesamtkosten kann erst mit Erlass der Rechtsverord- 
nung nach § 10 des BSI-Gesetzes auf der Grundlage des im Zweiten Teil der Be- 
gründung dargestellten Verfahrens erfolgen, da erst durch die Rechtsverordnung der 
Adressatenkreis der entsprechenden Verpflichtungen hinreichend konkret einge- 
grenzt und eine entsprechende Zahl meldepflichtiger Betreiber Kritischer Infrastruk- 
turen benannt werden kann. 

Nach aktuellen Schätzungen wird die Zahl der meldepflichtigen Betreiber Kritischer 
Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschätzt, dass 
pro Betreiber maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr er- 
folgen. Da relevante IT-Sicherheitsvorfälle von den Betreibern auch ohne die im 
Gesetz vorgesehene Meldepflicht untersucht, bewältigt und dokumentiert werden 
müssen, fallt bei den Bürokratiekosten nur insoweit ein Mehraufwand an, als die 
Bearbeitung über die ohnehin im Rahmen einer systematischen Bearbeitung relevan- 
ten Vorfälle hinausgeht. Aufgrund von Angaben aus der Wirtschaft auf der Grund- 
lage von Berechnungen nach dem Standardkostenmodell werden die Kosten für die 
Bearbeitung einer Meldung derzeit mit 660 Euro pro Meldung (11 Stunden Zeitauf- 
wand bei einem Stundensatz von 60 Euro) beziffert. Zum Teil werden solche Vor- 
fälle schon heute dem BSI gemeldet. 

Legt man den Berechnungen eine Anzahl von 2.000 Betreibern Kritischer Infrastruk- 
turen zugrunde, die jeweils sieben IT-Sicherheitsvorfälle pro Jahr melden, für deren 
Bearbeitung jeweils ein zusätzlicher Aufwand von 660 Euro pro Meldung entsteht, 
so entsteht den Betreibern Kritischer Infra Strukturen für die Erfüllung der Melde- 
pflicht ein jährlicher Erfüllungsaufwand von insgesamt 9,24 Mio. Euro. 

Hinzu kommt der Erfüllungsaufwand für die Betreiber öffentlicher Telekommuni- 
kationsnetze und öffentlich zugänglicher Telekommunikationsdienste für die Auf- 
rechterhaltung und Erweiterung von Verfahren für die Meldung von IT-Sicherheits- 
vorfällen an die Bundesnetzagentur. Da es in diesem Bereich bereits ein etabliertes 
Verfahren zur Meldung von IT-Sicherheitsvorfällen an die Bundesnetzagentur gibt, 
das durch das Gesetz lediglich erweitert wird, lässt sich der hierdurch entstehende 
Mehraufwand nicht quantifizieren. Auf Grund von Angaben aus der Wirtschaft wer- 
den die Kosten für die Bearbeitung einer Meldung derzeit auch für diesen Bereich 
mit 660 Euro pro Meldung ( 1 1 Stunden Zeitaufwand bei einem Stundensatz von 60 
Euro) beziffert. Von entsprechenden Kosten je Meldung wird auch für die Geneh- 
migungsinhaber nach dem Atomgesetz ausgegangen. 

Erfüllungsaufwand der Verwaltung 

Schon heute werden den zuständigen Behörden IT-Sicherheitsvorfälle gemeldet. 

Beim BSI entsteht für die Erfüllung der im Gesetz vorgesehenen Aufgabe - in Ab- 
hängigkeit von der Zahl der Betreiber Kritischer Infrastrukturen und der Anzahl der 
eingehenden Meldungen - ein Aufwand von insgesamt zwischen 115 bis zu maxi- 
mal 216,5 Planstellen/Stellen mit Personalkosten in Höhe von jährlich zwischen 
rund 8,95 und bis zu maximal 15,867 Mio. Euro sowie Sachkosten in Höhe von ein- 
malig mnd 5 bis 7 Mio. Euro. 

Beim Bundesamt für Bevölkemngsschutz und Katastrophenhilfe (BBK) führen die 
neuen Mitwirkungsaufgaben zu einem Bedarf von zwischen 9 und bis zu maximal 
13 Planstellen/Stellen mit jährlichen Personalkosten zwischen 711.000 und bis zu 
maximal 1,011 Mio. Euro. 

Bei der Bundesnetzagentur (BNetzA) führen die neuen Aufgaben zu einem Bedarf 
von bis zu maximal 28 Planstellen/Stellen mit jährlichen Personalkosten in Höhe 
von mnd bis zu maximal 3,2 Mio. Euro. Des Weiteren entstehen Kosten für Sach- 
mittel in Höhe von einmalig 150.000 Euro im ersten Jahr für die Aufgaben nach 
§ 109 Absatz 4 Satz 7 und 8 sowie Absatz 5 des Telekommunikationsgesetzes. 



Drucksache 18/5122 


-4- 


Deutscher Bundestag - 18. Wahlperiode 


In den Fachabteilungen des BKA entsteht ein Ressourcenaufwand von zwischen 48 
und bis zu maximal 78 Planstellen/Stellen mit jährlichen Personalkosten in Höhe 
von jährlich zwischen rund 3,226 und bis zu maximal 5,3 1 Mio. Euro. Des Weiteren 
entstehen Kosten für Sachmittel in Höhe von jährlich bis zu maximal 630 000 Euro. 

In den Fachabteilungen des Bundesamtes für Verfassungsschutz (BfV) entsteht 
durch die Zuständigkeit gemäß § 8b Absatz 2 Nummer 4 des BSI-Gesetzes ein Be- 
darf von zwischen 26,5 und maximal 48,5 Planstellen/Stellen mit Personalkosten in 
Höhe von jährlich zwischen 1,836 und maximal 3,253 Mio. Euro. Des Weiteren ent- 
stehen Kosten für Sachmittel in Höhe von maximal 610 000 Euro jährlich. 

In den Fachabteilungen des Bundesnachrichtendienstes (BND) entsteht durch die 
Zuständigkeit gemäß § 8b Absatz 2 Nummer 4 des BSI-Gesetzes im Zusammenhang 
mit der Prüfung ausländischer Datenstrecken auf Schadsoftware-Signaturen und 
Rückverfolgung von Schadsoftware im Ausland ein Bedarf von maximal 30 Plan- 
stellen/Stellen mit Personalkosten in Höhe von jährlich maximal 2,153 Mio. Euro. 
Des Weiteren entsteht ein jährlicher Bedarf an Sachkosten in Höhe von maximal 
688.000 Euro. 

In der Fachabteilung des für die nukleare Sicherheit und die Sicherung zuständigen 
Bundesministeriums für Umwelt, Naturschutz, Bau und Reaktorsicherheit (BMUB) 
führen die neuen Mitwirkungspflichten für das zentrale IT-Meldesystem an das BSI 
nach § 44b des Atomgesetzes (neu) und bei der Erarbeitung der Sicherheitsanforde- 
rungen für Energieanlagen nach § 1 1 Absatz lb des Energiewirtschaftsgesetzes zu 
einem Bedarf von bis zu maximal vier Planstellen/Stellen mit jährlichen Personal- 
kosten in Höhe von maximal rund 240.000 Euro. 

Bei der Bundesbeauftragten für Datenschutz und Informationsfreiheit entsteht ein 
Bedarf von zwischen 2,4 und bis zu maximal sieben Planstellen/Stellen. 

Im Ressort des Bundesministeriums für Arbeit und Soziales wird für das Bundes- 
versicherungsamt vor Erlass der Rechtsverordnung nach § 10 Absatz 1 des BSI-Ge- 
setzes noch nicht quantifizierbarer Aufwand im Hinblick auf die Rechtsaufsicht als 
zuständige Aufsichtsbehörde über die bundesunmittelbaren Träger der Sozialversi- 
cherung erwartet. Das Gleiche gilt für die fachlichen Aufsichtsbehörden (Bundesamt 
für Güterverkehr, Eisenbahn-Bundesamt, Luftfahrt-Bundesamt, Bundesaufsichts- 
amt für Flugsicherung, Generaldirektion Wasserstraßen und Schifffahrt, Bundesamt 
für Seeschifffahrt und Hydrografie) im Ressort des Bundesministeriums für Verkehr 
und digitale Infrastruktur im Hinblick auf den Sektor Transport und Verkehr. 

Darüber hinaus können Verträge des Bundes mit Dritten, die Kommunikationstech- 
nik im Auftrag des Bundes betreiben sollen und hierzu Leistungen von Unternehmen 
in Ansprach nehmen, die dem Gesetz unterliegen, zu Ausgaben führen, die aus heu- 
tiger Sicht noch nicht bezifferbar sind. 

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen soll finanzi- 
ell und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden. 

Der Erfüllungsaufwand für die Länder und Kommunen ist derzeit noch nicht bezif- 
ferbar. 

Weitere Kosten 

Infolge der von den Betreibern Kritischer Infrastrukturen umzusetzenden Maßnah- 
men entstehen geringe, aber noch nicht quantifizierbare Kosten für die fallweise An- 
passung der IT-Verfahren, die von den Bundesbehörden bereitgestellt werden. 

Der Haushaltsausschuss hält den Gesetzentwurf mit den Stimmen der Fraktio- 
nen der CDU/CSU und SPD gegen die Stimmen der Fraktionen DIE LINKE, 
und BÜNDNIS 90/DIE GRÜNEN für mit der Haushaltstage des Bundes verein- 
bar. 
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Dieser Bericht beruht auf der vom federführenden Innenausschuss vorgelegten Be- 
schlussempfehlung. 


Berlin, den 10. Juni 2015 


Der Haushaltsausschuss 


Dr. Gesine Lötzsch 

Vorsitzende 


Eckhardt Rehberg 

Berichterstatter 


Dr. Dietmar Bartsch 

Berichterstatter 


Martin Gerster 

Berichterstatter 

Anja Hajduk 

B erichterstatterin 





Gesamtherstellung: H. Heenemann GmbH & Co., Buch- und Offsetdruckerei, Bessemerstraße 83-91, 12103 Berlin, www.heenemann-druck.de 
Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de 

ISSN 0722-8333 


